當 IPsec VPN 工作階段或通道關閉時,系統會產生警示,且 [警示] 儀表板或 NSX Manager 使用者介面的 [VPN] 頁面上會顯示關閉警示的原因。

解決方案

使用下表來找出您在 NSX Manager 使用者介面上看到的原因訊息,並檢閱關閉警示的可能原因。若要解決警示,請針對特定原因訊息和關閉警示的可能原因執行列出的必要動作。

表 1. IPsec VPN 工作階段關閉警示的原因和解決方案
IPsec VPN 工作階段關閉警示的原因 可能的原因 解決警示訊息的必要動作
驗證失敗 由於驗證失敗,VPN 閘道之間的 IKE SA 建立失敗。IKE SA 的驗證取決於預先共用的金鑰、本機識別碼和遠端識別碼值。
  • 確認 Local IDRemote ID 值。本機識別碼值必須設定為對等 VPN 閘道上的遠端識別碼值。
  • 確認 Pre-shared Key 值。必須與 VPN 閘道上的內容完全相符。
未選擇任何建議 本機和對等組態檔案中的 IKE 轉換組態不一致。 確保為兩個閘道設定的下列內容相同。
  • DH groups
  • Digest and encryption algorithms
對等已傳送刪除 對等閘道已起始刪除案例。已收到 IKE SA 的刪除裝載。 若要判斷對等閘道傳送刪除裝載的原因,請檢查 NSX Edge 和對等閘道端上的 Syslog。
對等沒有回應 IKE SA 交涉逾時。
  • 確認遠端閘道已啟動。
  • 確認與遠端閘道的連線。
語法無效
  • IKE 建議或轉換的格式不正確。
  • IKE 裝載的格式錯誤。
若要對無效語法進行偵錯,請分析 Edge Syslog。
SPI 無效 在 IKE 裝載中收到無效的 SPI 值。 若要對無效的 SPI 值進行偵錯,請分析 Edge Syslog。
組態失敗 由於某些限制或特定準則,NSX Edge 中的工作階段組態實現失敗。原因會在工作階段傾印中的 Session_Config_Fail_Reason 下方列出。 使用 Session_Config_Fail_Reason 下方工作階段傾印中所顯示的原因來解決此錯誤。
交涉未開始 IKE SA 交涉尚未開始。
  • 確認工作階段組態中的 Connection Initiation Mode 內容已設定為 Respond Only
  • 驗證兩個閘道的 VPN 組態。必須至少將其中一個閘道設定為 Initiator
未啟用 IPSec 服務 用於工作階段的 VPN 服務狀態為非作用中。 確認 IPSec VPN 服務組態中的 [管理狀態] 是否為已停用。
未啟用工作階段 管理員未啟用工作階段。 啟用工作階段以解決此錯誤。
SR 狀態非作用中 SR 處於待命狀態。 確認 HA 對等 SR 所在 NSX Edge 節點上的 VPN 工作階段為作用中狀態。
表 2. IPsec VPN 通道關閉警示的原因和解決方案
IPsec VPN 通道關閉警示的原因 可能的原因 解決警示訊息的必要動作
對等已傳送刪除 對等閘道已傳送 IPSEC SA 的 刪除裝載。 若要瞭解對等閘道傳送刪除裝載的原因,您必須檢查 NSX Edge 和對等閘道端中的 Syslog。
未選擇任何建議 本機和對等閘道組態中的 ESP 轉換組態不一致。 確保為兩個閘道設定的下列內容相同。
  • DH groups
  • Digest and encryption algorithms
  • PFS 是否已啟用。
無法接受 TS 由於通道組態的閘道之間的原則規則定義不相符,IPsec SA 設定已失敗。 檢查兩個閘道上的本機和遠端網路組態。
IKE SA 已關閉 IKE SA 工作階段已關閉。 首先,在 Edge Syslog 中檢查工作階段關閉原因。請參閱上表中的 [必要動作] 資料行來解決工作階段關閉的錯誤,然後檢查通道關閉的原因是否仍然存在。
語法無效
  • 建議或轉換的格式不正確。
  • 裝載的格式錯誤。
若要對無效語法進行偵錯,請分析 Edge Syslog。
SPI 無效 在 ESP 裝載中收到無效的 SPI 值。 若要對無效的 SPI 值進行偵錯,請分析 Edge Syslog。
沒有 IKE 對等 所有 IKE 對等無作用。沒有剩餘的對等閘道可用來嘗試建立連線。
  • 檢查遠端閘道是否已啟動。
  • 檢查與所設定對等閘道的連線。
IPsec 交涉未開始 IPsec SA 交涉尚未開始。 IKE SA 尚未啟動。在 Edge Syslog 中檢查工作階段關閉的原因,並解決這些錯誤。